Le 26 mai 2016, le Parlement européen a adopté par 501 voix pour, 119 contre, et 31 abstentions, une résolution non législative par laquelle ils invitent la Commission européenne à poursuivre ses négociations avec les États-Unis sur la décision d'adéquation dite Privacy Shield (bouclier "vie privée"), afin de remédier aux "failles" que présente cet accord, présenté le 2 février 2016 par la Commission. Privacy Shield doit succéder à l'accord Safe Harbour (la sphère de sécurité), invalidé par l'arrêt Schrems du 6 octobre 2015 de la Cour de justice de l'UE, et encadrer le transfert des données des citoyens européens aux États-Unis à des fins commerciales.

Suite notamment aux critiques émises le 13 avril 2016 par le groupe Article 29 rassemblant des autorités nationales de protection des données, la Commission continue à travailler avec les Etats-Unis pour obtenir des améliorations, dans l'espoir de rendre le nouveau cadre opérationnel durant l'été 2016 après que les représentants des États membres auront validé le dispositif en juin dans le cadre de la procédure de comitologie (comité "Article 31").

La Commission planche sur une mise en œuvre du Privcacy Shield durant l'été 2016

Comme elle l'a fait savoir aux eurodéputés lors d'un débat qui s'est tenu la veille du vote, la commissaire européenne en charge de la Justice, Věra Jourová, veut améliorer l'accord pour qu'il suscite une "pleine confiance" de la part des citoyens et des entreprises. Elle a rappelé que cet accord avait été négocié en tenant compte de deux principes directeurs : les treize recommandations présentées par la Commission européenne le 27 novembre 2013 et les critères énoncés par la CJUE dans l'arrêt Schrems.

La question de la collecte en vrac de données avait été l'une des questions critiques centrales soulevées par la CJUE dans l'arrêt Schrems. "Je suis convaincue que nous avons surmonté les points faibles de Safe Harbour", a dit la commissaire en mentionnant notamment le fait que les entreprises américaines sont désormais soumises à des règles plus strictes, que les citoyens européens auraient désormais la garantie que tout recours fasse l'objet d'une enquête et que le gouvernement américain a apporté une "assurance explicite" que la collecte en vrac ne pourrait être réalisée que dans des circonstances exceptionnelles.

Enfin, la Commissaire a mis en avant les garanties que sont l'introduction d'un médiateur américain, premier du genre, ainsi que la révision annuelle qui pourrrait déboucher sur une suspension de la décision d'adéquation si les Etats-Unis n'ont pas respecté leurs engagements ou si leurs réponses aux questions posées durant la révision se révélaient insatisfaisantes.  "Il faudra tirer au clair l'indépendance et le fonctionnement du mécanisme de médiateur, et rendre plus explicite le principe de conservation limitée des données", a-t-elle toutefois concédé.

Les reproches du Parlement européen

Dans sa résolution non législative, le Parlement européen note les efforts réalisés par la Commission, par l'insertion de définitions-clés telles que "données à caractère personnel", "traitement" et "responsable du traitement", la mise en place de mécanismes pour assurer la supervision de la liste des entités du bouclier et les examens de conformité externes et internes désormais obligatoires, qui avaient été salués par le groupe Article 29.

Rappelant que la sécurité juridique est un élément-clé dans le développement et la croissance des entreprises et invitant la Commission à mettre en œuvre pleinement les recommandations formulées par le groupe Article 29, les eurodéputés évoquent plusieurs lacunes.

Pour commencer, ils déplorent le fait que la collecte de masse de données et communications à caractère personnel relatives à des ressortissants non américains reste autorisée dans six cas. Ils soulignent  qu'une  collecte de masse "aussi ciblée que possible" et "raisonnable", ne répond pas aux critères plus stricts de nécessité et de proportionnalité définis par la Charte des droits fondamentaux de l'UE.

Ensuite, ils considèrent que la nouvelle institution que constitue le médiateur américain n'est "pas suffisamment indépendante" ni "investie de compétences suffisantes pour exercer efficacement et faire respecter sa fonction". Ils jugent par ailleurs complexe le mécanisme de recours et appellent la Commission et l'administration américaine à le rendre "plus accessible" ainsi que "plus efficace".

Enfin, ils sont inquiets de l'accès des autorités américaines aux données, ils souhaitent que la Commission demande des éclaircissements sur le statut juridique des "assurances écrites" fournies par les États-Unis.

Dans ce contexte, les eurodéputés ont appelé la Commission à mener régulièrement des "examens approfondis", tout particulièrement à la lumière de la mise en œuvre, dans deux ans, du nouveau règlement européen de protection des données.

Lors du débat qui s'était tenu la veille, l'eurodéputé Axel Voss (PPE) avait parlé du Privacy Shield comme d'une "véritable amélioration". Il avait jugé que le mécanisme de révision contenu dans l'accord ne rendait pas utile la clause d'expiration désirée par les groupes Verts-ALE et GUE-NGL qui aurait fait cesser le Privacy shield dans quatre ans. Axel Voss avait aussi émis le souhait que la méfiance envers la Commission disparaisse. “Des règles claires et uniformes sont un élément-clé du développement commercial et de la croissance. Nous avons besoin de sécurité juridique pour nos entreprises, les PME et les start-up. Je mets en garde contre toute tentative visant à compromettre Ia finalisation du Privacy Shield”, avait-il poursuivi, cité dans un communiqué de presse publié par son groupe.

Comme elle l'avait fait en février 2016, l'eurodéputée luxembourgeoise Viviane Reding (PPE) s'est exprimée dans un communiqué distinct de celui de son groupe. En tant qu'ancienne vice-présidente de la Commission européenne qui a lancé la réforme de Safe Harbour, Viviane Reding estime que le projet de la Commission est encore insuffisant. Certes, elle salue les nombreuses améliorations en termes de transparence, surveillance et contrôle des pratiques des entreprises.  "Néanmoins, je regrette le peu de garanties obtenues pour ce qui concerne les activités des services secrets américains. Le problème est, a toujours été, et reste l'usage de la sécurité nationale comme une dérogation générale", dit-elle. Le travail doit se poursuivre pour "transformer les assurances écrites en obligations légales, et les mots en réalité pour les citoyens". "La décision finale doit être solide comme un roc, si nous voulons fournir aux PME la sécurité juridique qu'elles méritent." "Plus que jamais, l'Europe et l'Amérique doivent construire un pont stable sur l'Atlantique avec un pilier solide pour la protection des données", poursuit Viviane Reding. "Maintenant que le nouveau règlement général sur la protection des données a créé une référence absolue en Europe, faisons-en une réalité mondiale", conclut-elle.

L'eurodéputé  Josef Weidenholzer (S&D) a constaté des incertitudes qui font craindre le risque d'une nouvelle affaire devant les tribunaux, ce qui ne serait "pas bon pour notre image et l'industrie". Il a souligné en conséquence le besoin de clarté, notamment en ce qui concerne les assurances écrites et le médiateur. Il a par ailleurs estimé que le recours juridique doit couvrir non seulement les ressortissants de l'UE mais également les citoyens de pays tiers couverts par la charte des droits fondamentaux.

Helga Stevens (ECR) a parlé d'un "grand pas dans la bonne direction". "Certains groupes continuent de penser que ça ne suffit pas, qu'il faut imposer les normes européennes, mais nous ne devons pas oublier que les Etats-Unis ne font pas partie de l'UE", a-t-elle dit, suggérant l'impossibilité d'obtenir les mêmes standards que ceux en vigueur dans l'UE. Les nouvelles règles doivent aussi résister à l'examen de la CJUE, a-t-elle toutefois prévenu.

L'eurodéputée Sophie in't Veldt (ADLE) doute que le bouclier puisse être opérationnel. Elle a rappelé qu'il a fallu qu'un arrêt de la Cour invalide Safe Harbour pour que la Commission entende l'appel du Parlement à le modifier. "Je ne suis pas convaincue que les assurances écrites et un médiateur vont changer la donne. (…) J'ai l'impression que la Commission veut prendre une décision sans savoir que ça ne va pas tenir les principes édictés par la CJUE", a-t-elle dit.

"Une sphère privée ne s'améliore pas seulement en changeant son nom. Ce bouclier se déploie mais c'est du papier mâché qui va prendre l'eau de toutes parts", a déclaré l'eurodéputée Cornelia Ernst (GUE-NGL) doutant de sa solidité juridique. 

L'eurodéputé, Jan Philip Albrecht (Verts-ALE), qui en février 2016 pensait que "la Commission brade le droit fondamental européen à la protection des données", a constaté des progrès mais doute des "améliorations concrètes sur le terrain" qui ne vont pas intervenir du jour au lendemain, ainsi que du manque de clarté de certaines dispositions. "Il faut regarder les choses en face, la seule décision honnête serait de fixer une clause d'expiration", a-t-il dit, en respectant l'amendement proposé par son groupe et le GUE-NGL, finalement rejeté.

A l'issue des interventions des eurodéputés, la Commissaire Věra Jourová avait conclu les débats. "Le Privacy Shield ne peut pas être parfait. Il ne le sera jamais. Il y a des raisons objectives pour lesquelles nous n'avons pas pu aller plus loin. Comment voulez-vous que nous imposions nos volontés aux constitutionnalistes américains ?", avait-elle lancé en se déclarant confiante dans le fait qu'il tient compte des exigences de la CJUE.